كيفية استعادة الوصول إلى نظام التشغيل بعد هجوم فيروس بيتيا: توصيات من الشرطة الإلكترونية في أوكرانيا

نشرت إدارة الشرطة الإلكترونية التابعة للشرطة الوطنية الأوكرانية توصيات للمستخدمين حول كيفية استعادة الوصول إلى أجهزة الكمبيوتر التي تعرضت لهجوم إلكتروني بواسطة فيروس التشفير Petya.A.

أثناء دراسة فيروس Petya.A Ransomware، حدد الباحثون عدة خيارات لتأثير البرامج الضارة (عند تشغيل الفيروس بحقوق المسؤول):

النظام معرض للخطر تماما. لاستعادة البيانات، يلزم وجود مفتاح خاص، وتظهر نافذة على الشاشة تطلب منك دفع فدية للحصول على المفتاح لفك تشفير البيانات.

أجهزة الكمبيوتر مصابة ومشفرة جزئيًا. بدأ النظام عملية التشفير، لكن العوامل الخارجية (مثل: انقطاع التيار الكهربائي، وغيرها) أوقفت عملية التشفير.

أجهزة الكمبيوتر مصابة، لكن عملية تشفير جدول MFT لم تبدأ بعد.

أما بالنسبة للخيار الأول، للأسف، لا توجد حاليًا طريقة مضمونة لفك تشفير البيانات. يعمل المتخصصون من قسم الشرطة السيبرانية وSBU وDSSTZI وشركات تكنولوجيا المعلومات الأوكرانية والعالمية بنشاط على حل هذه المشكلة.

في الوقت نفسه، في الحالتين الأخيرتين، هناك فرصة لاستعادة المعلومات الموجودة على الكمبيوتر، نظرًا لأن جدول تقسيم MFT غير مكسور أو معطل جزئيًا، مما يعني أنه من خلال استعادة قطاع تمهيد MBR للنظام، سيبدأ الكمبيوتر ويعمل.

وهكذا فإن برنامج طروادة المعدل “بيتيا” يعمل على عدة مراحل:

أولاً: الحصول على الحقوق المميزة (حقوق المسؤول). على العديد من أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows (Active Directory)، يتم تعطيل هذه الحقوق. يقوم الفيروس بحفظ قطاع التمهيد الأصلي لنظام التشغيل (MBR) في شكل مشفر لعملية XOR ذات البتات (xor 0x7)، ثم يكتب أداة تحميل التشغيل الخاصة به بدلاً من القطاع أعلاه؛ تتم كتابة بقية كود حصان طروادة إلى القطاعات الأولى من القرص. تقوم هذه الخطوة بإنشاء ملف نصي حول التشفير، لكن البيانات لم يتم تشفيرها فعليًا بعد.

لماذا هذا؟ لأن ما هو موضح أعلاه هو مجرد تحضير لتشفير القرص ولن يبدأ إلا بعد إعادة تشغيل النظام.

ثانياً: بعد إعادة التشغيل، تبدأ المرحلة الثانية من عمل الفيروس - تشفير البيانات، وينتقل الآن إلى قطاع التكوين الخاص به، حيث يتم وضع علامة على أن البيانات لم يتم تشفيرها بعد وتحتاج إلى تشفيرها. بعد ذلك تبدأ عملية التشفير التي تشبه برنامج فحص القرص.

بدأت عملية التشفير، لكن عوامل خارجية (على سبيل المثال: انقطاع التيار الكهربائي، وغيرها) أوقفت عملية التشفير؛
لم تبدأ عملية تشفير جدول MFT بعد بسبب عوامل لا تعتمد على المستخدم (خلل في الفيروس، رد فعل برنامج مكافحة الفيروسات على تصرفات الفيروس، وما إلى ذلك).

التمهيد من قرص تثبيت Windows؛

إذا كان هناك جدول به أقسام القرص الصلب مرئيًا بعد التمهيد من قرص تثبيت Windows، فيمكنك البدء في عملية استرداد MBR؛

لنظام التشغيل Windows XP:

بعد تحميل قرص تثبيت Windows XP في ذاكرة الوصول العشوائي (RAM) بجهاز الكمبيوتر، سيظهر مربع الحوار "تثبيت Windows XP Professional"، الذي يحتوي على قائمة اختيار، يجب عليك تحديد العنصر "لاستعادة نظام التشغيل Windows XP باستخدام وحدة التحكم بالاسترداد، اضغط على R." . اضغط على مفتاح "R".

سيتم تحميل وحدة التحكم بالاسترداد.

إذا كان جهاز الكمبيوتر يحتوي على نظام تشغيل واحد مثبت (افتراضيًا) على محرك الأقراص C، فستظهر الرسالة التالية:

"1:C:\WINDOWS ما هي نسخة Windows التي يجب أن أقوم بتسجيل الدخول إليها؟"

اكتب المفتاح "1"، اضغط على المفتاح "Enter".

ستظهر رسالة: "أدخل كلمة مرور المسؤول الخاصة بك". أدخل كلمة المرور الخاصة بك، اضغط على "أدخل" (إذا لم يكن هناك كلمة مرور، فقط اضغط على "أدخل").

يجب أن يظهر موجه النظام: C:\WINDOWS> أدخل Fixmbr

ستظهر بعد ذلك الرسالة "تحذير".

"هل تؤكد دخول MBR الجديد؟" اضغط على المفتاح "Y".

ستظهر رسالة: "يتم إنشاء قطاع تمهيد أساسي جديد على القرص الفعلي \Device\Harddisk0\Partition0."

"تم إنشاء قطاع التمهيد الأساسي الجديد بنجاح."

لنظام التشغيل Windows Vista:

تحميل ويندوز فيستا. حدد لغتك وتخطيط لوحة المفاتيح. في شاشة الترحيب، انقر فوق "استعادة جهاز الكمبيوتر الخاص بك". سيقوم نظام التشغيل Windows Vista بتحرير قائمة الكمبيوتر.

حدد نظام التشغيل الخاص بك وانقر فوق "التالي".

عندما تظهر نافذة خيارات استرداد النظام، انقر فوق موجه الأوامر.

عندما يظهر موجه الأوامر، أدخل الأمر:

bootrec/FixMbr

انتظر حتى تكتمل العملية. إذا تم كل شيء بنجاح، ستظهر رسالة تأكيد على الشاشة.

لنظام التشغيل Windows 7:

تحميل ويندوز 7.

اختر اللغة.

حدد تخطيط لوحة المفاتيح الخاصة بك.

حدد نظام التشغيل الخاص بك وانقر فوق "التالي". عند اختيار نظام التشغيل، يجب عليك تحديد "استخدام أدوات الاسترداد التي يمكن أن تساعد في حل مشاكل بدء تشغيل Windows".

في شاشة خيارات استرداد النظام، انقر فوق زر موجه الأوامر الموجود على شاشة خيارات استرداد النظام لنظام التشغيل Windows 7

عندما يتم تشغيل موجه الأوامر بنجاح، أدخل الأمر:

bootrec/fixmbr

اضغط على مفتاح Enter وأعد تشغيل الكمبيوتر.

لنظام التشغيل Windows 8

تحميل ويندوز 8.

في شاشة الترحيب، انقر فوق الزر استعادة جهاز الكمبيوتر الخاص بك

سيقوم Windows 8 باستعادة قائمة الكمبيوتر

حدد موجه الأوامر.

عند تحميل موجه الأوامر، أدخل الأوامر التالية:

bootrec/FixMbr

انتظر حتى تكتمل العملية. إذا تم كل شيء بنجاح، ستظهر رسالة تأكيد على الشاشة.

اضغط على مفتاح Enter وأعد تشغيل الكمبيوتر.

لنظام التشغيل Windows 10

تحميل ويندوز 10.

في شاشة الترحيب، انقر فوق الزر "إصلاح جهاز الكمبيوتر الخاص بك".

حدد "استكشاف الأخطاء وإصلاحها"

حدد موجه الأوامر.

عند تحميل موجه الأوامر، أدخل الأمر:

bootrec/FixMbr

انتظر حتى تكتمل العملية. إذا تم كل شيء بنجاح، ستظهر رسالة تأكيد على الشاشة.

اضغط على مفتاح Enter وأعد تشغيل الكمبيوتر.

بعد إجراء استرداد MBR، يوصي الباحثون بفحص القرص باستخدام برامج مكافحة الفيروسات بحثًا عن الملفات المصابة.

يشير المتخصصون في الشرطة السيبرانية إلى أن هذه الإجراءات تكون ذات صلة أيضًا إذا بدأت عملية التشفير ولكن تمت مقاطعتها من قبل المستخدم عن طريق إيقاف تشغيل طاقة الكمبيوتر أثناء عملية التشفير الأولية. في هذه الحالة، بعد تحميل نظام التشغيل، يمكنك استخدام برنامج استرداد الملفات (مثل RStudio)، ثم نسخها إلى وسائط خارجية وإعادة تثبيت النظام.

ويلاحظ أيضًا أنه إذا كنت تستخدم برامج استعادة البيانات التي تسجل قطاع التمهيد الخاص بها (مثل Acronis True Image)، فإن الفيروس لا يلمس هذا القسم ويمكنك إرجاع حالة عمل النظام إلى تاريخ نقطة التفتيش.

وأفادت الشرطة السيبرانية أنه بخلاف بيانات التسجيل المقدمة من مستخدمي برنامج M.E.doc، لم يتم نقل أي معلومات.

دعونا نتذكر أنه في 27 يونيو 2017، بدأ هجوم إلكتروني واسع النطاق من بيتيا. بدأ فيروس التشفير على أنظمة تكنولوجيا المعلومات للشركات الأوكرانية والوكالات الحكومية.